我去了OWASP's 2013 Top-10,发现不安全的直接对象参考排名第4。然而,当我试图进一步研究一些现有的公共RESTful API时,事实证明Facebook和世界银行对此并不感到烦恼。两者都只是使用直接对象引用。正如您在下面的示例中所看到的那样:
Facebook API调用
Word Bank API调用
这是否意味着在开发公共RESTful API时我们不应该认真对待不安全的直接对象参考?
答案 0 :(得分:5)
直接来自OWASP指南:
我该如何预防?
防止不安全的直接对象引用需要选择用于保护每个用户可访问对象的方法(例如,对象编号,文件名): 1.使用每个用户或会话间接对象引用。 [...]
2.检查访问权限。 [...]
Facebook和世界银行选择了选项2而不是选项1。